思科域名的分类
域名的分类 时间:2021-01-18 阅读:(
)
DavidLi李勇卫思科资深安全架构师Date201903思科助力企业安全可视化建设信息可视化监控检测分析定位网络主体用户终端系统服务行为软件网址应用文件流量位置时间哪年哪月几点几分哪个交换机哪个端口哪个楼层哪个座位社交媒体购物网站微博微信病毒广播风暴泛洪哪个部门的哪个人PCWindows7LinuxFTPDHCPJavaIE漏洞属性BashHeartbeat网络可视化的作用网络安全及稳定性问题通常来自于网络接入的主体为什么要网络安全可视化-工欲善其事,必先利其器层次覆盖协作开放呈现自动可视分析能力应用能力安全可视化建设六大要素不同产品配合、分享、决策执行获得更广的视角覆盖网内每个用户、每个端口、每次访问主机内每一个进程的每次操作解决方案跨越主机、接入、通讯、边界各个层次对外更多分享数据、更多的分享接口与应用系统的信息整合全面的、可分析、可衡量的态势呈现层次化、分级别的表现方式策略编排、处置自动、分析智能第一阶段第二阶段主机层面接入层面传输层面网络边界广深内外应用URL信誉分类黑名单邮件文件DNS监视到每一个端口每一个主机监视到每一此访问每一个数据包情景感知异常流量分析StealthWatch网络准入ISE邮件安全网关下一代防火墙Anyconnect信息采集AMP恶意软件检测安全能力内网安全可视化建设互联网威胁情报建设了解主机所有的属性信息可视化建设第一阶段-思科如何帮助客户实现安全可视化能力-层级分析、重点研究2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialCiscoAnyConnect思科安全能力之终端合规、进程流量可视化、客户端信息收集-Anyconnect统一终端软件终端合规与思科其他解决方案集成IdentityServicesEngine(ISE)ASR/CSRSwitchesandWirelessControllersCloudWebSecurityServices(CWS+WSA)ISRAdaptiveSecurityAppliance(ASA)VPNNetFlowCollectorsAdvancedMalwareProtectionUmbrellaServices网络可视化恶意软件检测云Web过滤网络接入准入云DNS保护客户端信息采集2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之EDR-AMP高级恶意软件防御-未知及已知病毒捕捉,零天病毒检测利器,勒索病毒防御Talos威胁情报45%的检测在我们检测到时,Virustotal还有没检测到进程行为分析及异常行为IOC集成沙箱功能–AMPThreatGrid19%的TG检测在我们检测到时,Virustotal还有没检测到低流行率可执行文件的自动分析10%转化为恶意软件漏洞软件分析检测技术与AV引擎结合下一代防病毒技术2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之IAM/NAC-网络接入情景感知可视及控制ISE策略平台ISE策略平台PLCADSAP你想要访问的资源TabletLaptopHMI你是个什么设备Mitsue(sales)Shree(IT)Santoso(Operator)你的身份JapanIndiaBuildingA从哪里接入19:3016:0016:00什么时间接入VPNWiFiWired连接网络的方式互联网881518815188151网络设备策略执行身份位置时间接入方式终端类型是否感染是否合规188152017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之NTA-Stealthwatch利用网络的力量达到最大安全覆盖-流量分析技术发现网内未知隐患内部威胁缺乏发现取证手段未知威胁行为IOC突破特征技术限制异常活动机器学习自动发现隐患黑盒子网络掌握每一次网络访问收集流量自动学习流量匹配异常行为IOC捕捉内部威胁交换机与路由器、防火墙:产生Netflow、sFlow、Netstream、IPFix等网络安全网络安全合规、安全审计、异常主机发现、数据窃取发现、蠕虫传播NaaSStealthwatch异常流量分析系统:收集Flow,分析流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之DPI-Firepower下一代防火墙/下一代入侵检测入侵文件网址应用IP源/目的IP源/目的端口协议安全域身份设备信息用户信息操作系统网内位置国家区域域名域名分类域名域名信誉DNS威胁情报网址分类网址信誉网址威胁情报应用分类应用信誉业务相关性SHA文件尺寸文件样本网址应用文件是否染毒文件轨迹客户端应用危险级别微软漏洞文件属性Snort规则平台相关分类入侵方式分类>35K规则Firepower漏洞列表定制规则IP威胁情报拦截警告日志加速允许限速属性2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential250+全职威胁情报研究员百万级遥感终端4全球数据中心1100威胁陷阱100+威胁情报合作伙伴思科威胁情报150万每天恶意软件样本6000亿每天电子邮件消息160亿次每天Web请求全球蜜罐网网络开源社区SpamcopOpenDNSSenderbase漏洞挖掘(内部)34亿恶意软件遥感数据ThreatGrid沙箱社区情报共享AspisCreteAEGIS第三方共享(MAPP)ISACs思科安全能力之威胁情报-Talos威胁情报互联网的可视化2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential如何获得思科威胁情报安全能力Talos为所有的Cisco安全产品提供智能情报,为用户提供自动的防护NetworkEndpointCloudFirePower/ASASnortsubscriptionrulesetNGFWNGIPSMerakiAMPforNetworksAMPforEndpointsAMPforGatewaysCloudEmailSecurityCloudWebSecurityWebSecurityApplianceEmailSecurityApplianceCiscoUmbrella2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力通过产品协作提供丰富数据及检测分析一支训练有素的顶级球队Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统未知威胁防御ESA邮件安全网关ISE网络准入解决方案终端信息采集终端合规信息Anyconnect统一客户端2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential可视化建设第二阶段-当我们拥有了安全数据,我们如何使用他们-借助思科解决方案实现态势感知建设FWIPSNTADPIEDRVulnerabilityContextDataPostureDataStoreDataSourceAPIeStreamerSyslogODBCEventCollectionTechnologyThreatIntelLogDataAnalysisDataCollectionDataAnalysisIAMVPNNACMalwareFileAPPOSServiceIP-TupleUserDomainNameURLIntrusionTopLevelAnalysisUseCaseCategoryPriorityCorrelationMeasureDataExpressionDashboardReportThreatResearcherSOCAnalystThreatHunterAlertSearchCasePanelDataPortalIncidentResponseSecuritySituationAwarenessDataOperationForensicsAnalysisSecurityAuditConsumerEmailSPAM安全运营与分析平台架构SandboxShortterm-datalakeLongterm-datalake展现安全态势快速响应及处置解析安全事件数据解析监听裸数据萃取元数据收取分析日志自动化事件梳理2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全可视化态势展现安全分析员–针对事件标识和响应的调查窗口技术经理–重点突出风险和事件状态的运营仪表盘安全运营官–基于合规的报告CIO–风险状态和安全趋势的概况安全审计–审计需要的安全指标建设安全态势感知常见痛点-缺乏优先级"告警疲劳什么是告警疲劳"缺乏需要的数据源"对不起,我们没有能力检测到这种信息.
.
.
"缺乏数据的理解"这个数据到底表示什么含义"缺乏检测和响应的关联"我们发现它们了,下面呢"2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件那么多,请告诉我们哪些需要处理-安全事件优先级评定单一事件SLE评分系统风险值=R(A,T,V)脆弱性资产威胁处置SLERO定量+定性综合评定是不是这些事件我们都需要处理我需要告诉你我们没有那么安全技术人员请不要告诉我,让我来说我们需要看哪些事件如何评价我们现在的安全状态2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件降噪举例-思科Firepower入侵事件降噪及安全风险度量脆弱性威胁Priority高中低HostProfileImpactLevel01234ServiceOSVulnerabilityMatchSignature资产ValueRanking10203040Reference2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential通过持续的安全事件建设完成态势感知系统的进化ObjectiveThreatStakeholdersDataReqs.
LogicTestingPriorityOutput"Failuretoprepareispreparingtofail"BenjaminFranklin处置流程的目的和目标需要标识的威胁与处置流程相关责任人检测信息源.
日志、数据包、主机配置等.
处理数据和标识威胁所需要规则及条件确认风险的校验方法逻辑基于影响和紧急状况来分类和归类不同级别的威胁响应威胁的工作流及报表、仪表盘Source:SANS-用来标识出组织和技术的要求,针对特定威胁如何进行检测和响应-安全态势感知针对特定条件标识出的安全事件安全事例框架2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例Use-Case设计模板UseCaseIDThreat-001Objective保护服务器免受外来侵入Threat检测到针对服务器的暴力破解行为ThreatCategory异常访问/账号安全/RECONStakholdersSec管理部门,Server管理部门,APP业务部门DataReqs.
Firepower-EstreamerDataLogics在Firepower开启针对SSH/FTP/HTTPBruteForce特征规则PriorityMiddleOutput服务器安全告警、事件调查仪表盘Response设定阈值自动拦截,报知业务部门提醒业务部门,重新审视业务需求,关闭不必要的管理端口,必要时将攻击源加入黑名单.
2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential标识安全事例Use-Case备选项ThreatOrientedControlOrientedUseriskandthreatassessmentresultsIndustryReportsStrategicthreatintelligenceresourcesRedteamexercisesCorporatePoliciesRegulatory&ComplianceAttackChainModelmaptocapabilitiesCandidateVector2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialTARGETBREACHCOMPROMISEDNSDNS-LayerSecurityWebSecurityEmailSecurityIPSDeliverHostAnti-MalwareINSTALLIPSFWNetworkAnti-MalwareEXPLOITDNSDNS-LayerSecurityWebSecurityIPSCommandIPSFWRECONFlowAnalyticsActThreatIntelligenceWeaptonize针对CyberKillChain建设安全能力FileTrajectoryATTACKERINFRASTRUCTUREUSEDBYATTACKERFILES/PAYLOADSUSEDBYATTACKERSource:Gartner(2016)45586UseCaseCapability2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件调查及关联分析数据展示DeliverINSTALLEXPLOITCommandRECONActWeaptonize位置身份安全态势分析行为态势分析行为审计日志安全事件情景信息资产属性身份关联攻击链映射事件出发情景信息展现2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例管理框架按照需求方要求收集需求填写Use-Case模板标识可用的及可实现的内容标识备选UseCase实现后重新审视环境变化后重新审视UseCases命中后定期重审定期刷新情景数据重审UseCase按照重要性按照可行性建立UseCases优先级列表备案不可实现的UseCasesUseCase优先级评定复查和优化描述与需求确认实现需求的安全能力决定需求的数据源决定满足需求的情景数据标识新的或者被影响的流程以及运营方案开发、测试和提交内容至产品UseCase实现方针修改内容修改事件修改记录添加或修改情景数据修改输出内容(Output)修改运营流程优化UseCase与Owner或者提交需求方确认更新文档通知相关责任人删除内容更新废除UseCases列表废除UseCase收集独立UseCase指标收集UseCase管理指标提供反馈给战略与计划开发衡量流程性能Source:Gartner(2018)开始2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例UseCase分类汇总ThreatKillChain威胁类型场景分类RECONWeaptonizeDeliverExploitInstallCommandActOther异常访问账号安全1高危访问4安全合规2入侵事件高频事件5新发事件1网络流量资源滥用1异常流量112蠕虫传播1恶意软件异常行为21高危感染2病毒爆发1威胁情报恶意攻击1远程控制3恶意软件分发22017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential1小时内100次重复单一事件攻击-Firepower单一源IP持续入侵攻击行为-Firepower某服务器被持续攻击-Firepower高风险值的攻击行为-Firepower未被阻止的高风险入侵事件-Firepower30天内出现的新型入侵事件-Firepower举例-风险分类:入侵事件实现内容:接收来自Firepower入侵检测/入侵防御系统产生的日志.
规格化所有来自这些设备的日志.
关联分析所有防火墙和入侵检测/入侵防御系统的事件,产生调查分析报表和告警UseCase事例2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential高带宽占用客户端-Stealthwatch单一主机外发大量邮件-Stealthwatch源主机发送大量异常流量(Scan/Flood)-Stealthwatch源主机通过SMB访问互联网行为-Stealthwatch服务器受到DDOS攻击-Stealthwatch主机发生蠕虫传播行为-Stealthwatch实现内容:通过Netflow和端口镜像,收集网络所有的流量数据.
自动学习流量,分析报警异常流量UseCase示例:举例-风险分类:网络流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科提供更加开放的接口帮助客户实现定制化需求Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统ESA邮件安全网关ISE网络准入解决方案Anyconnect统一客户端ODBCRestfulAPIHostInputAPIEstreamerAPISouthboundAPIRestfulAPISDKERSAPIPxGridPassive-IDRestfulAPIRestfulAPIRestfulAPI2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科态势感知平台技术实现方式异常流量分析系统网络准入系统下一代防火墙文件沙箱系统恶意软件防御安全能力层数据采集处理安全运营分析安全事件响应威胁情报监控网络安全分析日志关联分析安全态势感知事件监控中心SOAPA安全报告安全知识培训用户行为审计威胁情报监控-威胁研究和建模-恶意软件分析-沟通和协调-报告和简报安全事件响应-网络安全监控-网络安全调查和升级报告-网络威胁搜索-网络安全事故补救-事后分析网络安全分析-安全数据管理-安全分析-事件分类-事件定级2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialThreatswillincrease.
Volumeandsophistication.
威胁与日俱增更多种类更加复杂欢迎选择思科帮你完成可视化建设希望有机会分享我们的经验
racknerd怎么样?racknerd最近发布了一些便宜美国服务器促销,包括大硬盘服务器,提供120G SSD+192TB HDD,有AMD和Intel两个选择,默认32G内存,1Gbps带宽,每个月100TB流量,5个IP地址,月付$599。价格非常便宜,需要存储服务器的朋友可以关注一下。RackNerd主要经营美国圣何塞、洛杉矶、达拉斯、芝加哥、亚特兰大、新泽西机房基于KVM虚拟化的VPS、...
RAKsmart发布了9月份优惠促销活动,从9月1日~9月30日期间,爆款美国服务器每日限量抢购最低$30.62-$46/月起,洛杉矶/圣何塞/香港/日本站群大量补货特价销售,美国1-10Gbps大带宽不限流量服务器低价热卖等。RAKsmart是一家华人运营的国外主机商,提供的产品包括独立服务器租用和VPS等,可选数据中心包括美国加州圣何塞、洛杉矶、中国香港、韩国、日本、荷兰等国家和地区数据中心(...
georgedatacenter这次其实是两个促销,一是促销一款特价洛杉矶E3-1220 V5独服,性价比其实最高;另外还促销三款特价vps,georgedatacenter是一家成立于2019年的美国VPS商家,主营美国洛杉矶、芝加哥、达拉斯、新泽西、西雅图机房的VPS、邮件服务器和托管独立服务器业务。georgedatacenter的VPS采用KVM和VMware虚拟化,可以选择windows...
域名的分类为你推荐
国内域名注册国内最好的域名注册服务机构?网站空间租赁租用哪个网站空间最好?vps虚拟主机虚拟主机和VPS该选择哪个比较好免费域名空间可绑域名的免费空间香港虚拟主机推荐一下香港的虚拟主机公司!虚拟主机评测网请问这几个哪个虚拟主机好北京虚拟主机租用北京云主机租用哪家资质正规,价格便宜,服务好?要真云主机不要那种vps的假云主机,机房要在北京的!论坛虚拟主机虚拟主机禁止放论坛论坛虚拟主机我想买个论坛虚拟主机,但是去了好多网站都不怎么样?深圳虚拟主机深圳市虚拟主机深圳双线虚拟主机深圳主机合租深圳合租主机空推荐有哪?
naning9韩国官网 好看的桌面背景图 cdn加速原理 空间合租 如何注册阿里云邮箱 服务器硬件防火墙 跟踪路由命令 贵阳电信 主机返佣 腾讯数据库 买空间网 好看的空间 贵州电信 SmartAXMT800 sonya 海外加速 linux服务器系统 时间同步服务器 中国域名根服务器 卡巴斯基免费下载 更多